頂象：全面剖析“明星航空里程被盜用”背后的業(yè)務(wù)風(fēng)險(xiǎn)

近日，“站姐盜用吳磊里程積分”的話題登上微博熱搜榜，演員吳磊的一位粉絲曬出與航空公司工作人員的聊天對(duì)話音頻，稱另一名粉絲多次盜用吳磊航空里程兌換機(jī)票，共使用掉23萬飛行里程，嚴(yán)重侵害了吳磊利益。

隨后幾天，江映蓉、黃英、李晨等明星也紛紛發(fā)文表示，自己的航空里程被不認(rèn)識(shí)的人士盜用。這到底是怎么回事?

據(jù)了解，吳磊疑似是被3人盜用里程約23萬，江映蓉疑被盜用26.5萬里程，李晨從2018年6月份開始被十余人盜刷，并且涉及到了多家的航空公司，如果這些數(shù)據(jù)屬實(shí)，已經(jīng)給明星藝人帶來了經(jīng)濟(jì)損失。

明星歷程是怎么被盜用的?誰能夠盜用他人賬戶的歷程?這類業(yè)務(wù)風(fēng)險(xiǎn)該怎么防控?

什么是航空里程?

航空里程，就是航空公司俱樂部的會(huì)員積分，也就是航空公司的客戶忠誠計(jì)劃。國(guó)內(nèi)的四大航空公司均成立了俱樂部用于會(huì)員服務(wù)：中國(guó)國(guó)際航空的是鳳凰知音俱樂部，南方航空是明珠俱樂部，東方航空的東方萬里行俱樂部，海南航空的金鵬俱樂部等。

俱樂部會(huì)員乘坐相應(yīng)航空公司的飛機(jī)航班可以獲得一定的里程，不過不同的艙位積累里程的比例也不同。購買機(jī)票的票價(jià)和艙位越高，積累的里程也就越多。比如很多特價(jià)票一般不能累計(jì)里程，或者積累很少的里程。

大部分航空公司的累計(jì)里程的有效期是三年，里程可以用里程兌換免費(fèi)機(jī)票、免費(fèi)升艙、免費(fèi)獲得酒店、出行等優(yōu)惠和服務(wù)等。此外，很多航空公司都有推出受益人制度，也就是可以用自己積累里程為他人兌換機(jī)票。這也是“站姐盜用吳磊里程積分”發(fā)生的原因，也就是明星自己累計(jì)的航空里程因?yàn)椴幻髟蚯闆r下，里程被非指定受讓人挪用。該行為就好比銀行戶內(nèi)的余額被陌生人轉(zhuǎn)走，支付賬號(hào)為陌生人的購物買單一樣。

航空里程的使用流程比較簡(jiǎn)單，這就為被盜用留下隱患。會(huì)員賬戶里的航空里程兌換機(jī)票流程如下：

首先，登錄航空公司官網(wǎng)或App進(jìn)入俱樂部，輸入會(huì)員卡號(hào)及密碼進(jìn)入會(huì)員中心。

其次，選擇“里程兌換”，在出現(xiàn)的機(jī)票列表里，按照時(shí)間、航段進(jìn)行搜索。

然后，選擇可以兌換的日期及航班，并確定。

下一步，選擇機(jī)票受益人，或者是賬戶持有人，或者是受讓人。

最后，支付票款，也就是扣減航空里程。

航空里程被盜用背后的三個(gè)業(yè)務(wù)風(fēng)險(xiǎn)

掌握了會(huì)員的身份證、賬號(hào)、密碼，然后把不認(rèn)識(shí)的陌生人添加為賬號(hào)的受讓人，進(jìn)而直接購票。雖然個(gè)別航空公司將受讓人添加到受讓名單里后需要60天后才能生效，但是大多數(shù)航空公司添加受讓人后立即就生效。

由此就涉及到三個(gè)風(fēng)險(xiǎn)：用戶信息泄露風(fēng)險(xiǎn)(用戶賬號(hào)密碼丟失)、仿冒登錄風(fēng)險(xiǎn)(賬戶暴力破解賬戶，并冒充用戶登錄操作)和內(nèi)部異常操作風(fēng)險(xiǎn)(平臺(tái)管理人員越權(quán)操作，涉嫌竊取密碼、登錄用戶賬號(hào))。

首先看用戶信息泄露風(fēng)險(xiǎn)。一般來說，信息泄露主要有三類途徑：一類是擁有大量用戶平臺(tái)遭入侵，導(dǎo)致信息泄露，比如頻發(fā)酒店、網(wǎng)站信息泄露事件;一類是部分公共機(jī)構(gòu)、企業(yè)的內(nèi)部人員，缺乏責(zé)任意識(shí)或因?yàn)槔?，主?dòng)或無意的泄露竊取用戶數(shù)據(jù)，比如車管所、房產(chǎn)公司、保險(xiǎn)公司;一類是用戶自己無意識(shí)泄露，比如通過微博、朋友圈等社交平臺(tái)等。由此就涉及到三類風(fēng)險(xiǎn)。

根據(jù)媒體報(bào)道，買賣明星個(gè)人信息已有完整產(chǎn)業(yè)鏈，在微博、微信、閑魚等渠道被明碼標(biāo)價(jià)公開售賣，這些信息價(jià)格低廉，從幾塊到100元不等，500元就能打包購買上明星的身份信息、航班時(shí)刻表，只要花錢就能買到。以10元的價(jià)格獲得了一份文檔，里面記錄著上千位明星、主持人、經(jīng)紀(jì)人的身份證和護(hù)照信息等。

購買明星信息都是粉絲為了追星，比如知道了身份證號(hào)和航班信息之后，就能前往機(jī)場(chǎng)接機(jī)、蹲公司、藏酒店、做群演，乃至和“愛豆”住在同一個(gè)小區(qū)、去同一個(gè)健身房……還有“私生飯”能從特定明星的機(jī)票、酒店信息，扒出明星的緋聞等。

再來看賬戶仿冒登錄風(fēng)險(xiǎn)和內(nèi)部異常操作風(fēng)險(xiǎn)。內(nèi)部操作風(fēng)險(xiǎn)是指內(nèi)部人員利用內(nèi)部的安全管理漏洞，越權(quán)竊取機(jī)密信息、進(jìn)行非授權(quán)的操作、或重要信息或文件丟失、誤刪毒等。數(shù)據(jù)統(tǒng)計(jì)，2013年公共管理單位發(fā)生的安全事件，81%的是由于內(nèi)部人員過失泄密或主動(dòng)竊密造成，內(nèi)控風(fēng)險(xiǎn)已經(jīng)成為重大安全隱患之一。

媒體報(bào)道，某些機(jī)票代理商直接用陌生人的里程給旅客出機(jī)票，導(dǎo)致旅客在國(guó)外值機(jī)時(shí)被攔。記者通過社群和電商平搜索發(fā)現(xiàn)，有大量標(biāo)明出售里程的賣家。2011年，成都某機(jī)票銷售人員代某盜竊他人航空里程積分并出售獲利而獲刑九個(gè)月。通過社群和電商平搜索發(fā)現(xiàn)，有大量標(biāo)明出售里程的賣家。

三個(gè)層面增強(qiáng)航空會(huì)員的安全性

用戶航空里程積分被盜用是典型的業(yè)務(wù)安全事，航空公司需要進(jìn)一步完善業(yè)務(wù)規(guī)則，并通過技術(shù)手段進(jìn)行防護(hù)。

1、進(jìn)一步完善會(huì)員賬號(hào)和航空里程積分管理系統(tǒng)，提升業(yè)務(wù)的安全性。

(1)一個(gè)手機(jī)號(hào)只能綁一個(gè)會(huì)員賬戶，且需要會(huì)員證件號(hào)、手機(jī)、名字等要一一對(duì)應(yīng)。

(2)在會(huì)員使用里程時(shí)，發(fā)送驗(yàn)證碼到手機(jī)號(hào)碼上進(jìn)行二次確認(rèn)，里程積分消費(fèi)后也會(huì)有短信通知。

(3)賬戶添加受讓人，需要會(huì)員和受讓人雙方二次短信確認(rèn)。

2、通過技術(shù)手段，增強(qiáng)賬戶的安全性。

(1)頂象風(fēng)控系統(tǒng)5.0集成App加固和無感驗(yàn)證兩大工具。其中，App加固基于虛機(jī)源碼保護(hù)專利技術(shù)，內(nèi)嵌一機(jī)一密功能，保護(hù)App的代碼、資源文件、用戶數(shù)據(jù)，能有效偵測(cè)模擬器、刷機(jī)改機(jī)、調(diào)試破解等欺詐行為;設(shè)備能夠?qū)崟r(shí)判斷注冊(cè)登錄賬戶，有效防范程序化的批量注冊(cè)、黑客惡意登錄、網(wǎng)絡(luò)非法爬取等欺詐風(fēng)險(xiǎn)。能夠有效防范針對(duì)用戶賬號(hào)的暴力破解、仿冒登錄。

(2)頂象風(fēng)控系統(tǒng)5.0集成風(fēng)控決策引擎，能夠基于對(duì)內(nèi)部操作人身份、IP地址、時(shí)間戳等信息，對(duì)內(nèi)部操作人員進(jìn)行限制，通過對(duì)設(shè)備、身份、網(wǎng)絡(luò)、行為等多維操作風(fēng)險(xiǎn)策略，層層篩查操作風(fēng)險(xiǎn)，布控操作行為監(jiān)控策略，實(shí)時(shí)檢測(cè)內(nèi)部人員風(fēng)險(xiǎn)操作，實(shí)時(shí)檢測(cè)內(nèi)部人員風(fēng)險(xiǎn)操作。一旦發(fā)現(xiàn)越權(quán)訪問、異常的操作或非安全環(huán)境，及進(jìn)行報(bào)警，從而有效防范內(nèi)部操作風(fēng)險(xiǎn)。

3、借助法律手段，嚴(yán)懲盜用賬戶行為。

按照侵權(quán)責(zé)任法的規(guī)定，未經(jīng)他人允許，損害他人的人身權(quán)益和財(cái)產(chǎn)權(quán)益，給他人造成損害的應(yīng)承擔(dān)民事責(zé)任，需停止侵害，賠償損失，賠禮道歉，甚至還要返還財(cái)產(chǎn)，恢復(fù)原狀。

盜竊他人的航空公司賬號(hào)，并進(jìn)行轉(zhuǎn)讓航空里程積分等操作，屬于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)行為。如果盜竊的航空里程價(jià)值較低，只需予以治安管理處罰;但如果價(jià)值金額比較高，則構(gòu)成盜竊罪。這名粉絲共盜用23萬航空里程，折合成同等價(jià)值的人民幣為11500余元。參照此標(biāo)準(zhǔn)，應(yīng)認(rèn)定為“數(shù)額較大”，可處3年以下有期徒刑、拘役或者管制，并處或者單處罰金。